2025网络技术DNS管理

网络运维管理1DNS技术管理实现1.DNS概述21.DNS概述31.1为什么需要DNS？在互联网早期，所有联网计算机都使用IP地址作为唯一标识，但使用IP地址作为唯一标识有以下不足：不方便记忆不方便地址变更不安全01.DNS概述由于使用IP地址作为标识，难于记忆，后来就出现了HOSTS对应表。但是HOSTS对应表需要由管理者手工维护，无法适用于大型网络，且更新非常麻烦。为了解决这些问题，提出了域名系统（Domain

name

system，DNS）。域名系统可给机器分配用户名字（即域名），并且把这些名字与相应的IP地址关联起来。为了保证域名的唯一性，域名也需要申请和审批！41.1为什么需要DNS？1.DNS概述互联网域名注册服务机构51.2域名的结构1.DNS概述81.2域名的结构树状层次结构域名采用了树状层次结构的命名方式。所有的域名都以英文的“.”开始，是域名的根；根的下面是顶级域名，顶级域名下面还可以有下一级域名，例如二级、三级、四级…….各级域名之间用点隔开….三级域名.二级域名.顶级域名互联网的域名空间根（.）四级域名mail…hp二级域名pkutsinghua…www三级域名顶级域名aero

…

comcctv

…

ibmmail

…

wwwnet

org

edu

gov

…

cn uk

…bj

…edu

com1.DNS概述101.2域名的结构在Internet的DNS域名空间中，“域”是其层次结构的基本单位，按层次结构可划分为：根域：在DNS域名空间中，根域只有一个，它没有上级域，以圆点“.”来表示。在Internet网址中，根域是默认的，一般都不需要表示出来。顶级域：在根域之下的第一级域便是顶级域，它以根域为上级域。如“.cn”、“.com”、“.net”。子域：在DNS域名空间中，除了根域和顶级域之外，其它域都称为子域，子域是指有上级域的域。子域是相对而言的。.1.DNS概述111.2域名的结构级域名（有两种形式）国家顶级域名：.cn表示中国，.us表示美国，等等。通用顶级域名：例如.com.net.org.edu.gov.mil（公司和企业）（网络服务机构）（非赢利性组织）（美国专用的教育机构）（美国专用的政府部门）（美国专用的军事部门）1.DNS概述二级域名在国家顶级域名下注册的二级域名均由该国家自行确定。我国在国际互联网络信息中心（Inter

NIC）正式注册并运行的顶级域名是CN，这也是我国的一级域名。在顶级域名之下，我国的二级域名又分为类别域名和行政区域名两类。121.2域名的结构1.DNS概述三级域名三级域名通常由用户自行定义，用字母（

A～Z，a～z，大小写等）、数字（0～9）和连接符（－）组成；三级域名一般用来表示某个组织机构，例如用hactcm表示河南中医药大学131.2域名的结构1.DNS概述主机名企业或个人申请了域名后，可以根据自身需要在该域名下添加主机名，也可以根据需要创建子域名。主机名表示是该域中的某个主机（通常是服务器）的名字；例如：河南中医药大学申请的域名是.141.2域名的结构15举例：根据工作需要，河南中医药大学设置了一台Web服务器和一台邮件服务器mail是主机名

www

是主机名

16根据工作需要，河南中医药大学信管专业设置子域名，并且在该子域名下设置了多个课程的主机名。xg

是子域名

17computer.

xg.

hactcm.

edu.

cn.database.

xg.

hactcm.

edu.

cn.network

.

xg.

hactcm.

edu.

cn.xg.

hactcm.

edu.

cn.mail.

hactcm.

edu.

cn.www.

hactcm.

edu.

cn.hactcm.

edu.

cn.注册的域名企业自己管理（不需要再向管理机构申请）主机名子域名主机名1.DNS概述181.2域名的结构完全限定域名（FQDN）域名是全球唯一的，“主机名+域名”肯定也是全球唯一的。“主机名+域名”称为完全限定域名，即FQDN。FQDN是FullyQualifiedDomain

Name的缩写，含义是完整的域名。例如：

我们通常所说的网站的网址，严格来说是完全限定域名。1.DNS概述191.2域名的结构域名和物理服务器是一一对应吗？主机名和物理服务器并不一定是一一对应关系，例如，

多主机名→1台物理服务器1.DNS概述201.2域名的结构域名和物理服务器是一一对应吗？对于访问量特别大的网站，会把业务（例如Web服务）镜像到多台服务器上，并具有不同的IP地址。这样就可以使不同的客户访问不同的服务器，达到负载均衡的目的。多台服务器→同一主机名（域名）1.DNS概述211.2域名的结构总结用户在访问互联网上的服务（器）时，通常使用对方的域名进行访问，而不是直接使用不易记忆的IP地址；互联网网上的域名是需要申请、审批的，从而保证其唯一性；域名是有其特殊格式的，从右向左，依次是根域名、顶级域名、二级域名、三级域名……，中间用“.”隔开。2.

域名服务器222.域名服务器2.1域名服务器的基本作用232.1域名服务器的基本作用百度的Web服务器访问：用户主机客户机如何才能获得百度的IP地址？从表面来看，为了便于用户使用，互联网用户是通过域名

去访问百度服务器的，用户并不知道百度服务器的IP地址。但实际上，用户主机必须知道百度服务器的IP地址，才能通过互联网（采用TCP/IP协议）访问到百度服务器。如何解决上述的矛盾？2.域名服务器域名服务器的作用（简化描述）前面的例子中，当用户发出域名请求的时候（例如在浏览器中输入网址），该请求并不是直接发给百度的服务器的，而是被互联网的域名系统（DNS）接收，DNS根据域名（）解析出其对应的百度服务器的IP地址，并再此IP地址返回给用户，此时，用户就可以通过IP地址访问百度的服务器了。动画演示252.1域名服务器的基本作用互联网的DNS系统百度的Web服务器客户机只知道百度的域名，但不知道IP地址DNS的基本解析过程？访问：Web服务器①向DNS发送域名解析请求访问：②请求报文中包含待解析域名，以UDP方式发给DNS系统互联网的DNS系统Web服务器访问：互联网的DNS系统③域名系统解析出域名对应的的IP地址，将其放在

答报文中返。现在，用户主机知道百度的IP地址了！互联网的DNS系统Web服务器通过已获得的IP地址访问百度服务器服务器返回信息客户端浏览器将服务器返回的信息组织成网页（结束）2.域名服务器域名服务器的作用（简化描述）可以把互联网上的“域名——IP地址”的对应关系看成是一个数据库；假设把这个“数据库”放入一台计算机，这台计算机通过域名解析程序，专门向互联网上的用户提供“域名——IP地址”的解析和查询服务，被称作“域名服务器”；互联网用户要想使用域名服务，就必须事先知道域名服务器的IP地址；302.1域名服务器的基本作用客户机的配置客户机事先要知道DNS服务器的IP地址①当某一个应用进程需要把主机名解析为IP地址时，该应用进程就调用DNS解析程序，并向DNS服务器发出解析请求（即成为DNS的一个客户），把待解析的域名放在DNS请求报文中，并以UDP用户数据报文方式发给域名服务器。（使用UDP减少开销）②

域名服务器在查找域名后，把对应的IP地址放在

答报文中返

。③

应用进程获得目的主机的IP地址后即可进行通信。DNS的基本解析过程总结2.域名服务器引申分析截至2015年，全球的域名达到3.115亿。能让一台DNS服务器负责全球域名的解析吗？全球的域名解析需要一个健壮的、可扩展的域名解析体系架构，即要把域名解析的任务分摊到多个DNS服务器上。332.1域名服务器的基本作用DNS服务器百度的服务器此处的DNS服务器，并不是单独一台服务器，而是指整个域名系统，它包括分布在各地的多台

DNS服务器。声明一点2.域名服务器引申分析互联网的域名系统被设计成为一个联机分布式数据库系统；域名到IP地址的解析是由分布在互联网上的许多运行域名解析程序的域名服务器共同完成的。352.1域名服务器的基本作用DNS为域名系统(Domain

Name

System),一种组织成域层次结构的计算机网络的命名系统，提供了域名与IP地址对应关系。DNS基于UDP协议,工作于应用层DNS采用C/S模式工作；用户只能间接的使用DNS；客户端由操作系统支持,需要指定DNS服务器；DNS服务器存储域名与IP地址的对照表，负责进行地址解析.对域名系统（DNS）的进一步认识前面提到：“互联网用户要想使用域名服务，就必须事先知道域名服务器的IP地址”问题：互联网上的域名系统中，有非常多的域名服务器，我需要事先知道哪一个的IP地址？对域名系统（DNS）的进一步认识2.域名服务器2.2域名服务器的分类382.2域名服务器的分类2.域名服务器整个域名系统的服务，是通过分布在各地的域名服务器来实现的。互联网上的DNS域名服务器是按照层次和区域安排的；每一个域名服务器都只对整个域名体系中的一部分进行管辖；一个DNS服务器所负责管辖的范围叫做区。一个区内设置的DNS服务器通常叫做权限域名服务器，用来保存该区中所有主机的域名到IP地址的映射（即域名记录）。392.2域名服务器的分类40www.

hactcm.

edu.

cnmail.

hactcm.

edu.

cnf

tp.

hactcm.

edu.

cnxg.

hactcm.

edu.

cn……211

.

69

.

33

.

10211

.

69

.

33

.

20211

.

69

.

47

.

10211

.

69

.

47

.

20……河南中医药大学有很多网站，对应的有IP地址这种映射关系，由中医药大学内部的一台DNS服务器（假设其IP地址是211.69.32.8

）负责解析2.域名服务器我们可以“告诉”自己的PC：若想访问，就去找DNS服务器行解析。问题：若我想访问，该找谁来解析？若北京的一台PC想访问，他怎么知道该找来解析？412.2域名服务器的分类DNS_aDNS_bDNS_cDNS_d域名解析请求到底发给谁？用户主机2.域名服务器域名服务器的分类根据域名服务器所起的作用，可以把域名服务器划分为以下四种不同的类型：根域名服务器顶级域名服务器权限域名服务器本地域名服务器432.2域名服务器的分类本地域名服务器当客户机发出DNS请求时，这个请求报文就首先发送给本地域名服务 器。每一个互联网服务提供者ISP，或一个大学，甚至一个大学里的系，都 可以提供一个域名服务器，用作本区域客户机的本地域名服务器；本地域名服务器的信息由客户（或通过DHCP）进行配置。本地域名服务器在域名解析过程中起着重要作用，帮助客户机从互联网的域名系统中获得域名解析结果，并将结果发

给客户机。2.域名服务器2.2域名服务器的分类本地域名服务器此处就是本地DNS服务器地址本地域名服务器举例：河南中医药大学校园网内部有一台DNS服务器（假设其IP地址是

），该服务器内部记录有河南中医药大学内部 各应用服务器（例如ftp、Web、mail等服务器）的主机名和

IP地址的映射关系；

校园网用户可以把该服务器作为自己的本地DNS服务器，通过 该服务器来进行域名解析，例如访问， 通过该DNS服务器可解析出其对应的IP地址。2.域名服务器2.2域名服务器的分类本地域名服务器本地DNS2.域名服务器2.2域名服务器的分类问：域名对应的IP？客户机答:本地域名服务器2.域名服务器2.2域名服务器的分类问：域名对应的IP？客户机本地DNS问题：若本地DNS服务器无法解析时，接下来该怎么办？我不知道啊！本地域名服务器本地域名服务器中，都记录有根域名服务器的信息，因此，当本地域名 服务器收到用户机发来的域名解析请求，但自己又无法处理的时候，就 首先求助于根域名服务器。2.域名服务器2.2域名服务器的分类根域名服务器根DNS服务器是由互联网管理机构配置建立的，是最高层次的DNS服务器， 负责对互联网上所有顶级DNS服务器进行管理，含有全部顶级DNS服务器

的IP地址和域名映射。根DNS服务器并不直接用于域名解析，仅负责管理顶级DNS服务器的相关 记录。当本地DNS服务器解析不了某个域名时，告诉本地DNS服务器去找 哪个顶级DNS服务器。在互联网上共有13套不同IP地址的根域名服务器，它们的名字是用一个英文字母命名，从a一直到m（前13个字母）。2.2域名服务器的分类2.域名服务器根域名服务器共有13套装置（不是13个机器）这些根域名服务器相应的域名分别是

…到2021年，全球共有1375个根域名服务器在运行。。这样做的目的是为了方便用户，使世界上大部分DNS域名服务器都能就近找到一个根域名服务器。2.2域名服务器的分类根域名服务器在给一台服务器安装DNS服务时，默认情况下，会自动安装13套根域名 服务器的相关信息，包括每台根域名服务器的域名和对应的IP地址。因 此，当本DNS服务器（通常是指本地DNS服务器）不知道待查域名的IP地 址时，就把请求发给根域服务器；通常，根域名服务器并不知道待查域名的IP地址，但它知道下一步去哪个顶级域名服务器查询。所有的根域名服务器都知道所有的顶级域名服务器的域名和IP地址，即根域名服务器能够解析顶级域名！2.域名服务器2.2域名服务器的分类DNS服务器中的根域信息3.2根域名服务器3.域名服务器2.域名服务器全球共有13套根DNS服务器。54从根域名服务器的部署，看自主可控的重要性！历史在IPv4环境下，因为协议本身的限制，和美国长期以来的历史积累 和科技控制，全球根域名服务器一直被限制在13台，其中多数在美 国。虽然域名服务器的管理者ICANN是非盈利性机构，且已经从美国 政府脱离，但是它仍然是受美国法律约束的组织，在事实上，它对 根域名服务器的管理都要向美国政府申报。所以，换句话说，全球的域名系统都有这13台服务器负责解析，这13台服务器都由美国进行管理。

2.域名服务器

从根域名服务器的部署，看自主可控的重要性！风险基于上述原因，美国事实上控制着域名的最终解析权！域名解析系统是分布式的，不同级别的服务器有着不同的权限，比如根服务器负责解析“.cn”、“.com”等顶级域名，“”、“”等域名又由不同的管理者和服务器进行解析。如果美国试图利用域名的管理权对我们进行封锁的话，可以将“.cn” 的解析权剥夺，这样，所有使用“.cn”的域名的业务就会从国际互

联网上消失，别的国家就找不到我们了，这就是危害！

2.域名服务器

从根域名服务器的部署，看自主可控的重要性！探索雪球计划是ICANN的一个测试项目，目前由中国、日本的组织积极参 与，这个项目并不是为了替代目前的根域名服务器。之前我们说过， 全球只有13台根服务器的一部分原因是IPv4环境下的技术问题，雪

人计划就是建立一个实验环境，探索IPv6环境下，增加根服务器的可 行性。

2.域名服务器

2.域名服务器

从根域名服务器的部署，看自主可控的重要性！未来在网络领域，不仅是域名，IP地址、AS号、网络协议标准制定，都是由在美国的组织主导，这是美国长期以来的历史积累和科技控制。所以，打破美国的封锁，实现自主可控不是仅仅落地一两台根服务器就能解决的。解决问题的关键在于，在网络等科技领域，不断的学习、参与直至主导，只有在科技上实现引领，才能真正实现自主可控！顶级域名服务器这些域名服务器负责管理在该顶级域名服务器注册的所有二级域名。当收到DNS

查询请求时，就给出相应的 答，可能是最后的结果，也可能是下一步应当找的域名服务器（权限域名服务器）的IP地址。2.域名服务器2.2域名服务器的分类权限域名服务器（又被称为权威域名服务器）这就是前面已经讲过的负责一个区域的域名服务器。当一个权限域名服务器还不能给出最后的查询答时，就会告诉发出查询请求的DNS客户，下一步应当找哪一个权限域名服务器。例如就是河南中医药大学的权限域名服务器，它由河 南中医药大学负责建设维护，负责河南中医药大学内部的服务器的域名 解析，该DNS服务器在其上级域中有备案。2.域名服务器2.2域名服务器的分类树状结构的DNS域名服务器根域名服务器cn域名服务器com域名服务器edu

域名服务器…假设，abc公司申请的域名是，公司内部有若干服务器，例如

，等，为了对这些服务器进行域名解析，公司内部也设置了一台DNS服务器（）。这台DNS服务器就是权限域名服务器，负责对本公司内部的服务器域名进行解析权限域名服务器根域名服务器顶级域名服务器域名服务器主域名服务器与辅助域名服务器为了提高域名服务器的可靠性，DNS域名服务器都把数据复制到几个域 名服务器来保存，其中的一个是主域名服务器，其他的是辅助域名服务 器。当主域名服务器出故障时，辅助域名服务器可以保证DNS的查询工作 不会中断。主域名服务器定期把数据复制到辅助域名服务器中，而更改数据只能在 主域名服务器中进行。这样就保证了数据的一致性。管理员不能直接配置辅助域名服务器中的记录；2.域名服务器2.2域名服务器的分类3.域名的解析过程举例：一台客户机想访问访问：域名解析过程举例首先，客户机先在本机上查找关于的记录访问：客户机所做的的工作（1）步骤1：查询自己的缓存，看看有没有记录对应的IP地址，若有直接获得。IP地址?看看有没有记录对应的IP地址，若有直接获得。否（2）步骤2：查询自己的hosts文件，否（3）步骤3：向本地DNS服务器发出域名解析请求。第1步：域名解析过程举例若本机上没有关于的记录，则客户机把DNS解析请求发给本地DNS服务器假设：本地DNS服务器是本地DNS服务器有可能直接返 结果请问：

的

IP地址是多少？情况1本地DNS服务器答问本地DNS服务器就是所查域名的权限域名服务器本地DNS服务器中有所查域名的缓存记录情况2客户机域名解析过程举例如果本地DNS服务器不能解决问题，怎么办？如果本地DNS服务器无法解析域名，则本地DNS服务器就向互联网上的域名系统发出解析请求。具体步骤如下：顶级域名服务器权限域名服务器本地域名服务器根域名服务器

迭代查询

的IP

地址

递归查询客户机本地域名服务器采用迭代查询域名的解析过程主机向本地域名服务器的查询一般都是采用递归查询。如果本地域名服务器不知道被查询域名的IP地址，那么本地域名服务器就以DNS客户的身份，向根域名服务器继续发出查询请求报文。本地域名服务器向根域名服务器的查询通常是采用迭代查询。当根域名服务器收到本地域名服务器的迭代查询请求报文时，要么给出所要查询的IP地址，要么告诉本地域名服务器：“你下一步应当向哪一个域名服务器进行查询”。然后让本地域名服务器进行后续的查询。以此类推，直至结束。举例：一个电信用户访问www.

①

用户主机提出域名解析请求，并将该请求发给本地DNS服务器（电信的公共DNS）。②

本地DNS服务器收到请求后就去查询自己的缓存，如果有该条记录，则会将查询的结果返

给客户端。③

本地DNS服务器无法解析该域名，因此，本地域名服务器就以

DNS客户的身份向根DNS（13台根DNS服务器的IP信息默认均存储在DNS服务器中，当需要时就会去有选择性的连接）发出解析请求。④根DNS服务器收到请求后，也不知道该域名的IP地址，但是，它判断这个域名的顶级域名是cn，根DNS服务器就会把.cn的顶级域名DNS服务器的IP地址返给本地DNS服务器。⑤

本地DNS服务器收到这个地址后，就开始联系，并将此请求发给他。该顶级域名服务器经过解析，把的地址返 给本地域名服务器。（含义：我虽然不知道的IP，但我知道该域名是属于域的，而我知道这台域名解析服务器的IP，你去找它问问吧。）举例：一个电信用户访问www.

Ⓐ

本地DNS服务器收到域名服务器的地址后，就会重复上面的动作。收到请求后，进行解析。它也不知道的IP，但它知道该域名属于.这个域，而它知道这个权限域名服务器的地址，因此它把该地址返 给本地DNS。注意：此处的就是一个权限域名服务器。举例：一个电信用户访问www.

⑦

本地DNS服务器收到这个权限域名服务器地址后，再次重复上面的动作，找到这台权限域名服务器，并把域名解析请求发给它，该服务器在自己的数据库中查到了这个域名所对应的IP，并把地址返 给本地DNS服务器。准确的讲：

—— 是权限域名服务器的数据库当中的一条记录（A记录）。至此，域名解析系统的工作完成了。⑧

现在，本地DNS服务器终于获得的IP，然后把这个IP返

给客户机，整个解析工作全部完成。⑨

客户端主机（该电信用户）根据此IP去访问。举例：一个电信用户访问www.

可以看出，在整个解析过程中，客户端主机把域名解析请求发给本地域名服务器以后，就一直处理等待状态，他不需要做任何事，也做不了什么。本地域名服务器收到该请求，就代替客户端主机向因特网的域名解析系统发出查询请求。直到把结果返给客户端主机。（注意：查询析结果可能失败）这就是前面所提到的“用户只能间接的使用DNS”的含义。举例：一个电信用户访问www.

场景描述用户在家中上网，通过无线路由器NAT接入互联网（ISP是河南电信）用户主机IP：0，本地DNS是00用户现在访问，即部署在河南中医药大学的一台WWW服务器域名.对应的权限DNS地址是，该域名及对应的权限DNS服务器已经在中国教科网（ISP）中进行了注册；假设，本地DNS中（包括缓存中），没有对应的域名记录信息。【案例】抓包分析域名解析过程根域名服务器客户机：0本地域名服务器00递归查询权限域名服务器地址地址地址地址

顶级域名服务器权限域名服务器www.hactcm.的

IP

地址?域名解析过程总体描述域名解析过程的整体报文一览(23)0→00客户机→本地DNS(24)00→0本地DNS→根DNS(25)0→00根DNS→本地DNS(26)

00→本地DNS→顶级DNS(.cn)(27)

→00顶级DNS(.cn)→本地DNS(28)

00→3本地DNS

→

权限DNS(

.)(29)

3→00权限DNS(.)→本地DNS(30)

00→本地DNS

→

权限DNS

(.

)(31)

→00权限DNS(.)→本地DNS(32)

00→0本地DNS

→

客户机(23)0 →

00

客户机

→

本地DNS客户机向本地DNS服务器发出解析请求客户机是0，本地DNS服务器是00(24)

00 →

0

本地DNS

→

根DNS本地DNS服务器（00）把解析请求发给一台根域名服务器，此处为0。(25)

0 →

00

根DNS

→

本地DNS根域名服务器（0）并不知道对应的IP地址是什么，不过，它发现的顶级域名是.

cn，而它知道顶级域名服务器

的IP地址（

），于是，它告诉了（即应答）本地DNS服务器（00）根DNS反馈的.cn

域名服务器的地址

(25)

0 →

00

根DNS

→

本地DNS本地DNS服务器(00)向发出解析请求（query）。而是.cn顶级域名服务器中的一台（即）(26)

00

→

本地DNS

→

顶级DNS

.cn.cn的顶级域名服务器（）也不知道对应的IP地址是什么，不过，它发现的二级域名是.edu，而它知道域名服务器的IP地址（

3），于是，它告诉了（即应答）本地DNS服务器00。(27)

→

00

顶级DNS

.cn

→

本地DNS顶级DNS反馈的.

域名服务器的地址3(27)

→

00

顶级DNS

.cn

→

本地DNS本地DNS服务器(00)向3发出解析请求（query）。而3是.域名服务器中的一台（即）。(28)

00

→

3

本地DNS

→

权限DNS

..的域名服务器（3）也不知道对应的IP地址是什么，不过，它发现的三级域名是.hactcm，而它知道域名服务器的IP地址，于是，它告诉了（即应答）本地DNS服务器。(29)

3

→

00

权限DNS

.

→本地DNS.

域名服务器反馈.域名服务器的地址

(29)

3

→

00

权限DNS

.

→本地DNS本地DNS服务器(00)向发出解析请求（query）。而是域名服务器的IP地址。(30)

00

→

本地DNS

→

权限DNS

.域名服务器dns.hactcm.（）就是域名的权限域名服务器，在其数据库中保存有域名对应的IP地址（即一条A记录），经过解析，它告诉了（即应答）本地DNS服务器（00）(31)

→00

权限DNS

.

→本地DNS域名服务器给出最终答：0(31)

→00

权限DNS

.

→本地DNS本地DNS服务器(00)向客户机Host-1（0）发

解析请求的结果www.hactcm.的

IP

地址是0(32)

00

→

0

本地DNS

→

客户机DNS服务器的高速缓存

了提高查询效率，每个域名服务器都维护一个高速缓存，存放最近用过的名字以及从何处获得名字映射信息的记录。例如，本地的

DNS服务器虽然自身没有存放域名数据库信息，但当它获得一个解析结果后（即取得IP地址后），会将这条记录写入自己的缓存，以备后用。过利用缓存可大大减轻根域名服务器的负荷，使因特网上的DNS查询请求和 答报文的数量大为减少。保持高速缓存中的内容正确，域名服务器应为每项内容设置计时器，并处理超过合理时间的项（例如，每个项目只存放1天）。为何是“非权威应答”？暴风影音断网事件——2009年所有描述基于当时情况DNS的故事……2009年5月19日22时，工业和信息化部接到电信运营企业报告，自21时起，江苏、河北、山西、广西、浙江等省陆续出现互联网网络故

障，部分互联网用户的服务受到影响。工业和信息化部对此高度重视，要求电信运营企业查明故障原因，及时采取有效措施，尽快恢复正常服务。2009年5月20日，工信部发布《情况通报》确认，此次故障原因是由于暴风网站的域名解析系统受到网络攻击出现故障，导致电信运营企业的递归域名解析服务器收到大量异常请求而引发拥塞，造成用户不能正常上网。工信部确认原因是暴风影音网站受攻击。暴风影音断网事件——现象9920日，工业和信息化部组织相关单位和专家召开了研判会，分析故障原因。会议认为，由于网站的域名解析系统受到网络攻击出现故障，导致电信运营企业的递归域名解析服务器收到大量异常请求而引发拥塞，造成用户不能正常上网。中国电信也已表示，由于暴风影音网站自身域名解析故障，导致中国电信DNS服务器访问量突增，网络处理性能下降。暴风影音网站则表示，经过调查事故原因是DNS域名解析故障，网络故障造成多家网站受到影响，暴风也是受害者之一。暴风影音断网事件——现象1001、网络故障的“第1张骨牌”2009年5月19日21时起，中国互联网遭遇了“多米诺骨牌”连锁反应，出现了大范围的网络故障。关于网络故障的原因及技术原理，众说纷纭，莫衷一是。对此，中国互联网络信息中心(CNNIC)副主任兼总工程师李晓东博士认为，引发本次网络故障的第一张骨牌是DNSPOD遭遇网络攻击，而安装有暴风影音的千万台电脑则成为引发整个网络故障连锁反应的重要推力。暴风影音断网事件——分析1011、网络故障的“第1张骨牌”DNSPOD：域名申请下来以后，有些网站管理者不愿意使用域名注册服务商提供的收费域名解析服务，于是大量的免费域名解析服务提供商成为了他们的选择，此次断网事件的主角之一—DNSPOD就是其中之一。DNSPOD是国内著名的免费域名解析服务提供商，它拥有6台服务器（属于权限域名服务器），为全国13万网站提供域名解析服务，而此次断网事件的另一主角——国内著名视频播放软件暴风影音，就是其用户之一。暴风影音断网事件——分析1021、网络故障的“第1张骨牌”暴风影音：国内著名视频播放软件,暴风影音软件的装机量号称达到2亿以上，在中国普及率仅次于腾讯QQ,据称暴风用户同时在线人数达到上千万。B是北京暴风科技公司拥有的域名，用于其公司的各项互联网业务，该域名由北京暴风科技委托另外一家公司（DNSPOD.COM）代为运维管理，日常查询量非常大。暴风影音断网事件——分析1031、网络故障的“第1张骨牌”李晓东博士表示，此次故障的起源点在于DNSPOD.COM被人恶意大流量攻击，承担DNSPOD.COM网络接入的电信运营商断掉了其网络服务。这是导致本次网络瘫痪的第一个骨牌。暴风影音断网事件——分析104DNSPOD（暴风的权限域名服务器）

返

的IP

地址客户机

暴风的Web服务器

电信的本地域名服务器

递归查询

正常情况下：DNSPOD（暴风的权限域名服务器）暴风的Web服务器电信的本地域名服务器由于DNSPOD被攻击，造成被断网，从而形成网络故障的第1块骨牌。第1张骨牌：权限域名服务器故障客户机12、网络故障的“第2张骨牌”李晓东表示，事实上，第一轮的网络故障早在当晚21时前就已开始。当时，由于DNSPOD网络服务被中断，致使其无法为包括BAOFENG.COM在

内的域名提供域名解析服务，诸多采用DNSPOD服务的网站无法访问。这些采用DNSPOD服务的网站或者网络服务(包括暴风影音在内)同时成为此次网络故障的第2张骨牌。暴风影音断网事件——分析107DNSPOD（暴风的权限域名服务器）电信的本地域名服务器暴风的Web服务器第2张骨牌：本地DNS服务器会告诉客户机解析失败，客户机无法再访问暴风影音网站。对于DNSPOD负责解析的其他网站，情况也类似，即客户无法访问。这就形成网络故障的第2块骨牌。权限域名服务器故障客户机13、网络故障的“第3张骨牌”本来，DNSPOD的故障不一定会对互联网造成大面积的扩散影响，但是由于暴风影音的安装量巨大和网络服务的特性，使得暴风影音成为此次网络故障的焦点，被推向舆论的风头浪尖。据了解，暴风影音软件的部分在线服务功能必须基于BAOFENG.COM域名的正常解析，DNSPOD网络服务被中断后，暴风影音的网络服务因此受到影响。暴风影音断网事件——分析109暴风影音软件网络服务的特点暴风影音含有一个名为stormliv的后台程序，只要用户安装了暴风影音，开机后就会自动运行，该自动运行程序为了躲避用户删除，使用“服务”的方式自动启动，在“管理工具”-“服务”中，找到一个名为“Contrl

Center

ofStorm

Media”的项目，将其禁用，才能停止其自动启动。只要一开机，不管是否启动暴风影音主程序，该后台程序都会自动联网，并且访问暴风影音服务器（），进行更新程序，下载广告，报告无法播放文件类型等操作。不仅如此，当遇到无法连接暴风服务器的情况时，该后台程序会不停的重试连接服务器，毫无意义的消耗本地和网络资源。3、网络故障的“第3张骨牌”李晓东表示，第3张骨牌就是电信运营商的本地域名服务器。因软件网络服务的需要，使得安装有暴风影音的电脑不断发起域名解析请求，成为推倒第3张骨牌的重要推力。安装了暴风影音软件的用户电脑产生的巨量域名请求，拥塞了为这些用户提供服务的各地电信运营商的本地域名服务器，导致多个省份的本地域名服务器出现故障甚至无法提供正常服务，第3个骨牌就此岌岌可危乃至最终倒掉。暴风影音断网事件——分析111DNSPOD（暴风的权限域名服务器）电信的本地域名服务器客户机1暴风的Web服务器

第3张骨牌：权限域名服务器故障客户机2客户机3客户机4…本地域名服务器出现拥塞，不能再为客户机提供解析服务。3、网络故障的“第3张骨牌”李晓东告诉记者，第3张骨牌是互联网服务的关键环节。电信运营商的本地域名服务器出现拥塞甚至无法服务后，使用这些本地域名服务器的其他互联网用户也无法上网，进而导致更大范围内的用户申报网络故障。最终，出现大面积断网现象。暴风影音断网事件——分析113总结一下本事件中涉及的对象PC:网络中的主机（装有暴风影音）公共DNS：电信、联通运营商DNS，（为广大用户提供DNS查询服务）；

DNSPod：为暴风影音等网站提供DNS解析服务的一个域名解析服务提供商，此处指该服务商的DNS服务器；暴风影音网站服务器DNSPOD（暴风的权限域名服务器）电信的本地域名服务器

的IP

地址查询

暴风影音的Web服务器

递归

通过IP地址访问正常情况下：客户机DNSPOD被攻击事件的起点是因为一家游戏私服为了商业利益，利用DDOS攻击另一家游戏私服，未能成功，于是前者转而攻击后者所使用的域名服务器DNSPOD，希望通过此举使对手的域名无法被解析，从而用户无法访问。DDOS攻击造成的巨大流量马上就使DNSPOD的服务器全部瘫痪。DNSPOD（暴风的权限域名服务器）暴风的Web服务器电信的本地域名服务器由于DNSPOD被攻击，造成被断网，从而形成网络故障的第1块骨牌。第1张骨牌：权限域名服务器故障客户机1DNSPOD（暴风的权限域名服务器）电信的本地域名服务器暴风的Web服务器第2张骨牌：本地DNS服务器会告诉客户机解析失败，客户机无法再访问暴风影音网站。对于DNSPOD负责解析的其他网站，情况也类似，即客户无法访问。这就形成网络故障的第2块骨牌。权限域名服务器故障客户机1暴风影音软件存在的问题DNSPOD遭遇网络攻击，遭到电信运营商断网处理，致使其托管数十万域名无法正常解析。通常情况下，如果是网民在地址栏输入

“BAOFENG.COM”等托管域名，因为无法访问，网民就不会再次输入相关域名请求解析。本来，DNSPOD的故障不一定会对互联网造成大面积的扩散影响，但是由于暴风影音的安装量巨大和软件后台程序开机后自动不停地重试连接暴风服务器的特性，使得暴风影音成为此次网络故障的焦点，被推向舆论的风头浪尖。暴风影音软件存在的问题本次网络瘫痪中，发起请求的不仅是网民，更多的是安装网民电脑

中的暴风影音软件。暴风影音的stormliv后台进程却不像人是有智慧的，在访问不成功后会自动放弃，程序的设计导致其无法访问时会持续不断发起访问请求，不断的失败又不断的发送。因软件网络服务的需要，使得安装有暴风影音的电脑不断发起域名解析请求。安装了暴风影音软件的用户电脑产生的巨量域名请求，拥塞了为这些用户提供服务的各地电信运营商的本地域名服务器，导致多个省份的本地域名服务器出现故障甚至无法提供正常服务，最终导致这些本地域名服务器倒掉。DNSPOD（暴风的权限域名服务器）电信的本地域名服务器客户机1暴风的Web服务器

第3张骨牌：权限域名服务器故障客户机2客户机3客户机4…本地域名服务器出现拥塞，不能再为客户机提供解析服务。请解析进一步的分析起初的状况——DNSPOD死了此时，尽管暴风影音的DNSPOD域名服务器无法访问，但之前访问过暴风影音的用户电脑里会暂时缓存暴风影音网站的IP地址，暂存时间从几秒到几分钟不等。等这段时间过了以后，用户电脑缓存的IP过期，于是要访问暴风影音的用户向本地域名服务器发送域名解析请求服务，比如北京的电信用户会向北京电信的DNS服务器发送请求。本地域名服务器中通常也会缓存暴风影音的IP，一般会设置成3600秒，即一个小时，在这一个小时内，一切照旧，没有发生问题，用户照样可以顺利访问暴风影音。接下来的状况但一个小时后问题出现了，本地DNS服务器的缓存也过期了。于是，本地DNS服务器内开始向上级DNS服务器提出解析请求，在上级DNS服务器中有一项或若干项称之为“NS”的纪录，该纪录记载了暴风影音的域名解析服务器即DNSPOD服务器的IP地址，本地DNS服务器获得此地址。但问题是这个IP地址的服务器已经被DDOS攻击以致瘫痪。当本地DNS向DNSPOD的服务器发送域名解析请求时，肯定没有反应。本地域名服务器（电信DNS）本地DNS无法解析DNSPod死了，无法解析出暴风影音的IP，返 失败报文用户PC中的暴风软件不停的向本地DNS（电信DNS)发送查询请求DNSPod域名服务器暴风影音的Web服务器大麻烦来了由于权限域名服务器返

查询失败的报文要经过一到两秒，然后才能结束这次会话，处理速度跟不上暴风影音庞大用户群的大量查询请求，从而造成这些请求全部拥塞在本地域名服务器中，大量拥塞的请求占用了大量的服务器处理性能，进而导致本地域名服务器无法正常服务。（电信的DNS死了！）其他对于另外网站的域名解析请求也得不到相应，造成的结果就是不管访问哪个网站都无法得到域名解析的结果，所以无法访问。（大家都上不了网了！）最终出现大面积断网！要重视互联网域名系统的安全性！

暴风影音断网事件

【专家表示】域名系统安全“牵一发而动全身”域名作为广大民众访问互联网的起点和入口，是全球互联网通信的基础。域名系统作为承载全球亿万域名正常使用的系统，是互联网的基础设施，其

作用相当于互联网的中枢神经系统，域名系统的故障会导致互联网陷入瘫痪。完整的域名系统由递归域名服务系统(即本地域名服务器)、根域名服务

系统、顶级域名服务系统以及各级域名服务系统等四个层级构成。简单的说，广大民众访问一个网站或其他互联网服务时，需要在全球网络中完成对应四个层次的查询。因此，任何一层出现故障，都会导致相应范围的网络应用瘫痪，大到一个国家和地区的网将络全面瘫痪，小到某个网站将无法访问。

暴风影音断网事件

【专家表示】域名系统是一种公开服务，历来是被攻击的对象，从本次网络故障发生的过程来看，相关机构对域名系统的重要性认识不足，重视程度显然不够，安全保障能力比较低。建议，一方面，提供公共域名服务的机构应提高自身安全防御和抗攻击能力；另一方面，拥有大量用户的互联网软件也应审慎考虑，优化软件安全性，避免一不小心成了分布式拒绝服务攻击(DDOS)的凶。

暴风影音断网事件

【专家表示】此次网络故障所涉的三张骨牌都是攻击受害者，估计黑客攻击DNSPOD时也没预料到攻击会产生如此恶劣的后果，最终酿成大范围的网络瘫痪。域名系统就像是“空气”，平时我们感觉不到它的存在，但是一旦出现问题，其影响可能是“致命”的。因此，专家呼吁：希望大家携手共同努力，重视并加大各个层级域名系统保护力度，为亿万网民营造一个“安全、可靠”的互联网环境。暴风影音断网事件完132实验讨论：A-C-2的本地DNS是DNS-MasterA-C-2的本地DNS是4.DNS的区域1344.DNS的区域为了分散整个DNS系统的负荷，将DNS域名空间划分为区域（zone）来进行管理。DNS服务器是通过区域（zone）来管理域名空间的，而不是以域为单位来管理域名空间的。135根comcnedueduXitmns域:区域:此处域和区域相同hactcm根comcnedueduXitmns域:区域:此处区域小于域hactcm区域:4.DNS的区域每个区域都是自我管辖的项目。区域中可以有一个或多个子域；每个区域至少有一个DNS服务器。每个区域中通常有一系列的记录，用来表示具体的域名和IP地址的映射关系；搭建DNS服务器时，必须先建立区域（zone），然后再根据需要在区域中建立子域以及在区域或子域中添加记录。这样才能完成其解析工作。1384.DNS的区域DNS区域按照解析方式的不同可划分为：正向查找区域（用于域名到IP地址的映射）当DNS客户端请求解析某个域名时，DNS服务器在正向查找区域中进行查找，并返回给DNS客户端对应的IP地址；反向查找区域（用于IP地址到域名的映射）当DNS客户端请求解析某个IP地址时，DNS服务器在反向查找区域中进行查找，并返回给DNS客户端对应的域名；1395.DNS的记录1405.DNS的记录141见的记录类型有以下几种：主机记录（A）AAAA记录别名记录（CNAME）邮件交换记录（MX）NS记录起始授权机构记录（SOA）PTR记录SRV记录5.DNS的记录主机记录（A）主机记录（A）在DNS区域中通常完成计算机名字到IP地址的映射。AAAA记录AAAA资源记录类型用来将一个合法域名解析为IPv6地址，与IPv4所用的A资源记录类型相兼容。别名记录（CNAME）别名记录（CNAME）也被称为规范名称。这种记录允许操作者将多个名称映射到同一台计算机。1425.DNS的记录143件交换记录（MX）邮件交换记录（MX）用于电子邮件程序发送邮件时，根据收信人的地址后缀来定位邮件服务器。S记录NS记录是域名服务器记录，用于标识解析该域或其它域（例如子域）各种主机记录的域名服务器。OA记录起始授权机构记录（SOA），是用来识别域名中由哪一个域名服务器负责信息授权。5.DNS的记录PTR记录PTR记录用于IP地址解析到域名，它被视为反向A记录。SRV记录SRV记录是DNS服务器的数据库中支持的一种资源记录的类型，它记录了哪台计算机提供了哪个服务。1446.DNS的数据库文件1456.DNS的数据库文件在DNS数据库文件中，包含着“域名--IP地址”的对应数据以及其它有关数据，这些数据称为资源记录（Resource

Record）。DNS的数据库文件包括以下几类。区域文件缓存文件正向、反向查询文件引导文件1466.DNS的数据库文件区域文件（zone

file）区域文件中保存着DNS服务器所管辖区域内的有关资源记录。在Windows

Server

2012中，当利用“DNS管理器”新建区域时，区域文件便会自动生成，默认的文件名是“区域名.dns”。在BIND中，区域文件是由管理员配置并定义的。1476.DNS的数据库文件缓存文件缓存文件和缓存是不同的两回事。高速缓存中保存的是已查到的数据，以便下次能够快速查询相同的数据。缓存文件中保存的是根域中DNS服务器的“域名--IP地址”的对应数据。每台DNS服务器中的缓存文件都应该是一样的，是DNS服务器查询外界Internet主机的IP地址时用的。1486.DNS的数据库文件正向、反向查询文件进行名字解析时，一般是用名字来查询IP地址，这称作正向查询。用IP地址来查询名字，称为反向查询。正向查询和反向查询都需要事先建立一个特殊的查询区域和相应的查询文件，分别将这种文件称作正向查询文件和反向查询文件。1496.DNS的数据库文件引导文件引导文件是一个文本文件，负责存储DNS服务器的启动信息。使用文本格式的命令和说明来设置一台DNS服务器。引导文件只用在BIND建设的DNS服务器上。1507.在Windows

Server上实现DNS1517.在WindowsServer上实现DNSWindows

Server

2012系统已经内置了DNS服务软件，只需要开启即可。实现DNS服务的具体流程如下。新建正向查找区域。创建A记录，并验证其可用性。创建CNAME记录，并验证其可用性。新建反向查找区域。创建PTR记录，并验证其可用性。1528.在Linux上实现DNS1538.在Linux上实现DNSBIND简介Linux下构建DNS服务器通常是使用BIND来实现的。BIND是Berkeley

Internet

Name

Domain

Service的简称，是一款实现DNS服务器的开源服务软件。BIND原本是美国DARPA资助伯里克大学（Berkeley）开设的一个研究生课

题研究，后来经过多年的变化发展，已经成为世界上使用最为广泛的DNS服务器软件，目前Internet上绝大多数的DNS服务器都是用BIND来构建的。1548.1BIND简介8.在Linux上实现DNS155+

BIND8.在Linux上实现DNS思考：配置DNS服务器时，是否需要虚拟机接入互联网？1568.2安装BIND8.在Linux上实现DNSBIND中的软件包BIND服务有关的软件包有如下几个：bindBIND服务器端软件，即BIND主程序。bind-chroot为BIND提供chroot机制的软件包，将BIND设定文件和程序限制在虚拟

根目录下。如果不使用chroot保护BIND，可以不安装，但是推荐安装。 为bind提供一个伪装的根目录以增强安全性（将 “/var/named/chroot/文件夹作为BIND的根目录”）1578.2安装BIND8.在Linux上实现DNSBIND中的软件包BIND服务有关的软件包有如下几个：bind-utils客户端搜索主机名的相关命令，提供nslookup及dig等测试工具bind-libsBIND相关的库文件1588.2安装BIND8.在Linux上实现DNS使用yum命令安装BIND软件包，命令格式是：1598.2安装BINDyum-y

install

bind

bind-chroot

bind-utils

bind-libs8.在Linux上实现DNS思考：安装BIND时，DNS服务器是否需要配置本地DNS地址？1608.2安装BINDyum-y

install

bind

bind-chroot

bind-utils

bind-libs8.在Linux上实现DNS使用yum命令安装BIND软件包，命令格式是：1618.2安装BIND8.在Linux上实现DNS使用yum命令安装BIND软件包，命令格式是：1628.2安装BIND8.在Linux上实现DNS1638.2安装BIND安装完成后会生成以下文件/etc/named.conf/etc/named.rfc1912.zones/var/named/named.localhost/var/named/named.cabind主配置文件区域声明文件区域配置样例文件根域名文件8.在Linux上实现DNSBIND主要有三类配置文件（1）BIND的主配置文件BIND主配置文件即/etc/named.conf，里面有BIND的全局设置；（2）区域声明文件区域声明文件即 /etc/named.rfc1912.zones，里面列举了本机中各个区域记录配置文件的位置/类型/性质。实际上，在主配置文件named.conf中，使用“Include

"/etc/named.rfc1912.zones"”语句来调用区域声明文件。1648.3BIND中的配置文件8.在Linux上实现DNSBIND主要有三类配置文件（3）区域配置文件一个DNS服务器中可以设置多个区域配置文件，每一个区域配置文件指明了本DNS服务器所负责解析的某个区域中IP和域名的对应关系，即各种记录内容，例如A记录、NS记录等。区域配置文件存放在/var/named目录下。1658.3BIND中的配置文件8.在Linux上实现DNS查看BIND的主配置文件该文件存放在/etc目录中，使用cat命令进行查看1668.3BIND配置文件1671688.Linux下实现BINDBIND配置文件中主要有10种语句。1694.3BIND配置文件8.在Linux上实现DNS查看根域配置文件named.ca的内容在主配置文件named.conf中，定义了根域“.”，其对应的区域配置文件为named.ca。当DNS服务器无法解析某个域名时，就可以根据named.ca文件中的记录信息，向根域名服务器发出查询请求。named.ca文件存放在/var/named目录中，使用vi命令进行查看1708.4根DNS服务器记录1718.Linux下实现BIND修改主配置文件中的侦听地址配置named.conf，修改侦听地址，并允许所有主机可以访问。在文件中找到：改为：1728.5配置BIND8.Linux下实现BIND1738.5配置BIND在主配置文件中定义查找区域在named.conf中添加以下内容，定义一个区域名称为“”的正向查找区域，区域类型为主要区域。zone

""

IN

{//定义一个区域名称为“”的正向查找区域；typemaster;

//区域类型为主要区域file

".zone";//将该区域的区域配置文件命名为“.zone”。注意，此处为相对路径，即表示该文件将被放置在/var/named下，也可写成绝对路径；allow-update

{

none;};};8.Linux下实现BIND注意，在上一步骤中，我们只是在主配置文件（named.conf）文件中定义（即声明）了一个区域，并且定义了这个区域的配置文件名。但是，相应的区域配置文件并没有创建。接下来要创建区域配置文件.zone并在文件中添加“域名—IP地址”的有关记录。注意，这个文件要创建在/var/named目录中。1748.5配置BIND#

vi/var/named/.zone1758.Linux下实现BIND

8.5配置BIND$TTL

1D@ IN

SOA

. .

(0 ;serial1D ;refresh1H ;retry1W ;expire3H) ;minimum@INNS.dnsINA00ftpINA00wwwINA01mailINA02webINCNAME.@INMX

10.8.Linux下实现BIND对区域配置文件的说明：@代表相应的域名，例如此处代表,表示一个区域记录定义的开始。IN表示后面的数据使用的是INTERNET标准。SOA表示授权开始，其后面跟权威DNS服务器的主机名称（FQDN），此处为“.”。注意，最后面的“.”不能丢，因为此处的“.”表示一个完整主机名称的结束，如果不加点，则系统会默认在原主机名称后再加上“”，即变成了

“”。1768.5配置BIND8.Linux下实现BIND对区域配置文件的说明：.表示管理员邮件地址。注意，这里的邮件地址中用.来代替常见的邮件地址中的@，因为@用来表示本区域。serial：定义正向解析区域的序列号。refresh：定义自动刷新间隔时间。retry：定义刷新重试时间。expire：定义数据的有效期限。minimum：定义最小默认的生存时间。1778.5配置BIND8.Linux下实现BIND对区域配置文件的说明：NS：表示记录类型为NS记录。A：表示记录类型为A记录。MX：表示记录类型为MX记录，后面紧跟的数值为优先级数值。CNAME：表示记录类型为别名记录。www、mail、ftp：表示主机名。1788.5配置BIND8.Linux下实现BIND定义一个区域名称为“1.168.192.”的反向查找区域。在named.conf中添加以下内容，定义一个反向查找区域。1798.5配置BIND8.Linux下实现BIND配置区域文件区域文件192.168.1.zone的配置示例:1808.5配置BIND8.Linux下实现BIND为了保证BIND配置文件和区域文件的格式不会出错，输入以下命令可检查配置文件的格式是否正确。检查named.conf格式的命令为：named-checkconf配置文件名（包含路径）检查区域文件格式的命令为：named-checkzone区域名称区域文件名称（包含路径）1818.5配置BIND9.

DNS的高级功能1826.DNS高级功能DNS高级功能主要有以下几种。ACL（地址匹配列表）DNS转发1839.DNS高级功能ACL是访问控制列表（AccessControlList），在DNS中ACL是用来进行访问控制的地址匹配列表，其主要用来限制DNS服务器的访问和数据的传输，这对DNS的安全有一定的保障。在BIND中，可使用ACL语句用来添加匹配的地址列表。1849.1ACL9.DNS高级功能定义了地址匹配列表后，可在以下语句中使用。1859.1ACL9.DNS高级功能限制只有/24和/24查询本地服务器的所有区域信息。不使用acl语句时，named.conf的配置为：1869.1ACL9.DNS高级功能使用acl语句时，named.conf的配置为：1879.1ACL9.DNS高级功能DNS转发就是DNS服务器将来自DNS客户端或者服务器的DNS请求，转发到其他DNS服务器进行解析的过程。当本地DNS服务器无法提供所需要的数据时，可以将DNS请求转发到别的DNS服务器，然后将查询的结果返回给DNS客户端，并保存在缓存中。1889.2DNS转发9.DNS高级功能完全转发与区域转发完全转发是指DNS服务器将所有的查询请求都转发给其他的DNS服务器进行解析。区域转发则是将某些特定的区域的查询请求进行转发，而其他区域的查询请求仍使用递归解析或者迭代解析。1899.2DNS转发190DNS转发10.智能DNS（多链路智能解析）19110.智能DNS智能DNS的含义智能DNS解析是针对目前电信、联通、教育网互联互通不畅的问题推出的一种DNS解决方案。具体实现是：把同样的域名如的A记录分别设置指向部署于电信、联通、教育网的相应服务器的IP；当电信的客户访问时，智能DNS会自动判断访问者来路，并返回相应的部署在电信的服务器的IP地址；当联通的客户访问时会自动返回部署在联通的服务器IP地址；当教育网的客户访问时，会返回部署在教育网的服务器IP地址。19210.1智能DNS的含义10.智能DNS智能DNS的含义也就是说，智能DNS（多链路解析）就是让DNS服务器根据不同请求的IP地址或者所在区域，返回不同的解析